“斯诺登事件”迄今已近十年,伴随着“棱镜门”的曝光,国家级网络攻击行为逐渐浮出水面。早在此前,已有多方信息显示,美相关机构利用其技术和先发优势针对他国开展网络攻击行为。为系统呈现美情报机构开展全球网络攻击活动的情况,中国网络安全产业联盟(CCIA)精心编制,并于今日发布了《美国情报机构网络攻击的历史回顾——基于全球网络安全界披露信息分析》(以下简称《报告》)。
《报告》立足网络安全专业视角,坚持科学、客观、中立原则,基于全球数十家网络安全企业、研究机构及专家学者的近千份研究文献,充分整合各方分析过程及研究成果,力求通过业界和学界的分析实证,努力呈现美相关机构对他国进行网络攻击的情况,揭示网络霸权对全球网络空间秩序构成的重大破坏及严重威胁。
《报告》按照时间和事件脉络,共分为13篇,主要包括美国情报机构网络攻击他国关键基础设施,进行无差别网络窃密与监控,植入后门污染标准及供应链源头,开发网络攻击武器并造成泄露,所售商用攻击平台失控而成为黑客利器,干扰和打压正常的国际技术交流与合作,打造符合美国利益的标准及秩序,阻碍全球信息技术发展,制造网络空间的分裂与对抗等。
各篇概要如下:
第一篇 网络战的开启——对“震网”事件的分析
2010年美国情报机构使用“震网”病毒(Stuxnet)攻击伊朗核设施,打开了网络战的“潘多拉魔盒”。在信息技术发展历史上,出现过大量网络病毒和攻击事件,但“震网”事件是首个得到充分技术实证、对现实世界中的关键工业基础设施造成了与传统物理毁伤等效的网络攻击行动。全球网络安全厂商与专家的接力分析,对这次攻击行动进行了十分充分的画像,逐步将幕后黑手锁定美国情报机构。
2010年6月,白俄罗斯网络安全公司VirusBlokAda技术人员在伊朗客户电脑中发现了一种新的蠕虫病毒,根据代码中出现的特征字“stux”将其命名为“Stuxnet”;
2010年9月,美国网络安全厂商赛门铁克披露“震网”病毒的基本情况、传播方法、攻击目标,及病毒演化过程;
俄罗斯网络安全厂商卡巴斯基针对“震网”病毒先后发表数十篇报告,从功能行为、攻击目标、漏洞利用、规避对抗、命令和控制服务器等多方面进行全面分析,尤其讨论了“震网”病毒所利用的LNK漏洞和具有签名的驱动程序,并指出如此复杂的攻击只能在“国家支持下”才可进行;
中国网络安全厂商安天陆续发布3篇报告,分析“震网”病毒的攻击过程、传播方式、攻击意图、文件衍生关系和利用的多个零日漏洞、更新方式及USB摆渡传播条件的技术机理,总结其攻击特点和对工业控制系统现场设备的影响过程,并推测可能的攻击场景,搭建环境模拟其对工控系统的攻击过程;
2013年11月,德国IT安全专家拉尔夫·朗纳(Ralph Langner)先后发表两篇文章,将“震网”事件称为“网络战的教科书范例”,基于对“震网”病毒两个版本及攻击事件的跟踪研究,概括性地勾画了“网络战产生物理性战果”的具体实现方法和作战流程。
第二篇 “震网”之后的连锁反应——对“毒曲”“火焰”“高斯”的跟进分析
全球网络安全厂商逐步证实更加复杂的“毒曲”(Duqu)“火焰”(Flame)以及“高斯”(Gauss)等病毒与“震网”同源,与其同期甚至更早前就已经开始传播。
2011年10月,匈牙利安全团队CrySyS发现了一个与“震网”非常类似的病毒样本,称之为Duqu (“毒曲”),在与“震网”进行对比后,研究人员确定二者极具相似性;
2011年10月,赛门铁克发布报告,详细分析了“毒曲”病毒的全球感染情况、安装过程及加载逻辑;
卡巴斯基从2011年10月起,陆续发布了关于“毒曲”病毒的十篇分析报告,认为“毒曲”是一个多功能框架,具有高度可定制性和通用性。2015年6月,卡巴斯基捕获到了“毒曲”病毒对其进行的攻击,分析认为攻击者意图监控并窃取其源代码,只有国家支持的团队才有能力做到;
2012年5月,安天发布报告分析“毒曲”病毒的模块结构、编译器架构、关键功能,指出“毒曲”与“震网”在结构和功能上具有一定的相似性,并根据编码心理学,判断二者具有同源性;
2012年4月,伊朗石油部和伊朗国家石油公司遭到“火焰”病毒攻击。卡巴斯基分析认为“火焰”是当时攻击机制最复杂、威胁程度最高的计算机病毒之一,结构复杂度是“震网”病毒的20倍,幕后团队很可能由政府机构操纵;